諺語“一針九針”概括了Web 應用程序安全的核心。企業始終需要比攻擊者和惡意行為者先一步識別 Web 應用程序中的漏洞、弱點和錯誤配置，并確保在攻擊者找到并利用它們來策劃攻擊之前對其進行修補和/或修復。此類Web 應用程序安全解決方案的關鍵措施之一，除了漏洞掃描器、WAF 等安全工具外，就是 Web 應用程序測試或滲透測試。

滲透測試（筆測試）使企業能夠通過在安全條件下模擬實時網絡攻擊來檢查和了解Web 應用程序的安全強度。重要的是要注意滲透測試不能自動化。這是一個由經過認證的安全專家執行的手動過程。

每個 Web 應用程序都有多個組件和資產，這些組件和資產是公開的并且容易受到攻擊。對于大多數企業和開發人員來說，弄清楚哪些應用程序參數和組件需要包含在滲透測試清單中以及如何著手進行是一個相當大的挑戰。

Web 應用程序滲透測試清單指南：

1. 收集信息

滲透測試不能隨機或盲目進行。您必須做的第一件也是最重要的事情是收集有關您的 Web 應用程序的所有可能信息、它的潛在威脅和涉及的弱點風險等。這是通過使用爬蟲工具創建站點地圖、手動打開頁面、使用暴力訪問網站上未鏈接的目錄，從開發人員那里收集情報等。確保包括注釋和元數據、應用程序上的第三方應用程序/服務、元文件和所有入口點，同時收集有關 Web 應用程序/目標的不同部分如何工作的情報。

2.漏洞掃描

如前所述，Web 應用程序由多個組件和漏洞組成，所有這些都不需要進行測試。使用Web 漏洞掃描器等自動化工具，您可以掃描已知漏洞，例如SQL 注入、XSS、文件包含和另一個OWASP 前 10 個漏洞.?使用 AppTrana 等服務后，您將能夠根據您的業務的獨特需求自定義掃描儀和調整策略。在可用的安全分析的幫助下，您將能夠了解流量行為、攻擊嘗試的性質、攻擊模式等。然后您可以驗證掃描結果以查看可利用的內容和涉及的風險。利用滲透測試檢查業務邏輯缺陷、用戶/網絡瀏覽器特定缺陷、未知漏洞以及漏洞掃描中未顯示的其他錯誤配置。

3. 制定穩健的安全策略和滲透測試計劃

根據收集的信息/情報和創建的站點地圖，通過定義滲透測試的范圍、目標和預期結果/可交付成果，確定關鍵問題領域和高風險組件的優先級，制定穩健的安全策略。應用程序中允許用戶添加、刪除或修改內容（評論部分、聯系表等）、第三方服務托管、入口點等的部分應具有高優先級。

您還應該包括作為不同用戶的測試——一個不可靠的外部源，具有最少或沒有權限，一個用戶具有所有可能的權限和授權。

您必須定義將用于執行 Web 應用程序測試的方法和工具。如果您不進行滲透測試并為其提供安全服務，請確保僅將其委托給值得信賴且經過認證的安全專家，他們將他們的智慧和技術技能與創造性思維和創新方法相結合，以維護最高水平的網絡應用安全。您應該考慮像 AppTrana 這樣的安全解決方案。

4. 實際利用：包括什么？

滲透測試必須用于測試以下內容。

• 網絡、應用平臺、框架、文件擴展等的部署和配置錯誤。
• 允許惡意行為者竊取敏感數據的訪問控制、特權、身份驗證、授權和身份管理中的漏洞。
• 滲透測試人員不斷更改權限級別、訪問控制等，以查看是否可以利用以及哪些漏洞可以被利用。他們還檢查長時間訪問和特權對系統和數據的影響。
• 會話管理弱點——注銷功能、會話超時、CSRF、會話劫持等。
• 輸入/數據驗證缺陷，以查看應用程序是否允許來自用戶的未經過濾的輸入。
• 應用程序處理錯誤以查看網絡攻擊者是否能夠收集足夠的數據來編排攻擊。
• 數據加密和數據傳輸漏洞
• 業務邏輯缺陷以及如何利用它們來操縱工作流

5. 結果分析與報告

僅僅進行滲透測試是不夠的；最重要的是對測試結果進行詳細分析。以安全人員可以微調 WAF 和其他安全措施的方式編譯調查結果和分析，并且開發人員能夠修復關鍵和高優先級漏洞。關鍵利益相關者必須了解已知和未知漏洞的性質、可訪問的敏感數據以及滲透測試人員在系統中未被發現的時間跨度。